一隻章魚改變了網絡安全遊戲規則

2天時間，9支國內外頂尖「白帽黑客」戰隊，290餘萬次全方位、高強度的攻擊……

5月23日下午，第二屆「強網」擬態防禦國際精英挑戰賽在南京落下帷幕，無論各路「黑客」如何強攻巧戰，始終無法突破擬態防禦構築的網絡「金鐘罩」。全球首次網絡空間「人機對戰」的結果證明，我國獨創的擬態防禦理論與技術擁有極高的安全屬性。

網絡空間擬態防禦理論的創立者，中國工程院院士、國家數字交換系統工程技術研究中心主任鄔江興表示，該技術將一改以往網絡空間「亡羊補牢」的安全問題處理方式，顛覆了當前網絡空間「易攻難守」的不平衡態勢。「未來網絡空間安全『遊戲規則』或因此而改變，網絡空間安全新秩序也有望重塑。」

變被動為主動，讓網絡空間「自帶免疫」

在太平洋，有一種「聰明」的生物叫條紋章魚。據說，它能模擬至少15種海洋生物，通過變換顏色、條紋等迷惑攻擊者，降低攻擊的有效性，就像孫悟空的七十二變。

萬物互聯時代，帶來便利的同時，網絡安全問題成為揮之不去的夢魘。據國家網際網路應急中心《2017年中國網際網路網絡安全發展報告》顯示，自2013年以來，國家信息安全漏洞共享平臺收錄的安全漏洞數量年平均增長率為21.6%，2017年較2016年收錄的安全漏洞數量增長47.4%，達到歷史新高。

目前，社會上常用的的防病毒軟體、升級系統補丁、設置防火牆等手段，在鄔江興看來，都是生病吃藥、亡羊補牢式的後處理方式。

鄔江興認為：「就像人生病了要去醫院看病、吃藥打針，傳統的防禦主要也是靠吃藥打針來獲得後天防禦，對於未知的漏洞和後門基本就沒有辦法。但是人和所有的生物存活主要依靠自身的免疫，而不是吃藥獲得的後天免疫。所以我們現有網絡空間的機器產品缺乏這種內生的安全。」

那麼，能否讓條紋章魚擁有的擬態防禦技術，應用到網絡空間，成為重塑網絡空間新的安全秩序的利器？

擬態，是自然界中一種生物偽裝成另一種生物，或偽裝成環境中其它物體以獲取生存優勢的現象。「應該讓我們的信息網絡設備，像生物學的內生安全一樣，能夠靠先天免疫來獲得對自然界體內體外細菌病毒的對抗能力。」鄔江興說道。

受這隻章魚啟發，鄔江興院士提出了一套我國獨創、具有內生性安全效應的網絡空間擬態防禦理論。

該理論通過內生的「測不準」效應，可以使按此設計的軟硬體系統在不依賴「附加或外在」的防禦措施和手段情況下，就能有效抑制隱藏在系統內部已知或未知的漏洞後門、病毒木馬等引起的安全威脅，即擬態系統可以在「有毒帶菌」條件下正常運行。這就變被動為主動，有力促進了具有「自身免疫力」的軟硬體技術和產品的升級換代。

擺下測試擂臺，驗證防禦「金鐘罩」

面對網絡世界的防不勝防的安全威脅，以美國為首的技術領先國家，較早提出了用理論和技術的革命性創新確保其在網絡攻防領域的絕對優勢。

2011年，美國科學技術委員會發布的《可信網絡空間：聯邦網絡空間安全研發戰略規劃》中提到，未來重點發展具備「改變遊戲規則」能力的革命性防禦技術，包括移動目標防禦、定製可信空間和內在安全等。

「內在安全可能與擬態防禦有相似之處，但至今還未見任何相關公開論文或文獻報導。」鄔江興院士說，「從全世界已公開的研究資料來看，還沒有發現與擬態防禦類似的新型防禦理論、方法和工程實踐。」

既然擬態防禦是一套全新的理論和技術，如何驗證其安全性成為首要目標。

在第二屆「強網」擬態防禦國際精英挑戰賽現場，鄔江興談到，創新的理論技術需要更大範圍、更多的人去質疑和驗證。

擬態防禦技術在順利通過2016年科技部組織的測試驗證、2018年工信部組織的線上測試與去年首屆挑戰賽實戰測試後，今年再次擺下「擂臺」，邀請國際知名「白帽黑客」（「白帽黑客」是指那些用黑客技術來維護網絡關係公平正義的黑客）來攻，目的就是通過多輪次「國際眾測」，全方位對其安全屬性進行測試。

來自中國、美國、俄羅斯、德國、日本等10個國家的29支頂級「白帽黑客」戰隊，針對系列擬態防禦網絡設備發起的攻擊，全部被擬態化的網絡設備和系統發現並封堵。

賽事期間，技術提供方還向每支戰隊做出讓步，授權戰隊獲得某一設備內部執行體的控制權。戰隊可通過預置後門等協助方式，嘗試突破擬態防禦。

這種主動配合攻擊選手的情況，猶如大樓管理方主動向「小偷」提供了一把入口「鑰匙」，充分展示了中國在網信安全技術領域的技術自信。

同時，南京紫金山實驗室「網絡內生安全試驗場」（NEST）也正式開通，這是國際上首個永久在線、面向全球開放的網絡內生安全防禦技術試驗場。鄔江興自信地說：「該試驗場上線後將保持永久在線模式，隨時歡迎來自全球的個人和組織的攻擊挑戰。」

步入產業化，未來應用可期

10多年來，歷經理論探索、原理驗證、技術突破、系統研製、線上評估、實戰檢驗等全流程艱辛探索，網絡空間擬態防禦技術已經具備了大規模產業化基礎。

從2014年開始，鄔江興院士對擬態防禦的研究不再局限於理論層面，而是同步開展了工程化實踐。2016年初，擬態路由器和擬態web伺服器兩類原理驗證系統研製成功。2017年，科技部和上海市科委啟動了重點研發項目「擬態防禦技術試驗場」，為相關理論和技術研究、標準規範制定、測試方法研究、儀器儀表開發、產品裝備孵化提供了重要抓手，將加速技術成熟及產品落地。

2018年4月12日，基於擬態防禦理論設計開發的成套網絡設備，包括擬態域名伺服器、擬態路由器、擬態web虛擬機、擬態雲伺服器和擬態防火牆等多種類型的設備與裝置，在河南省景安網絡科技股份有限公司完成全球首次線上體系化部署，可為兩萬餘家企業網站提供可量化的高可靠、高可用、高可信一體化的服務，具有顯著的技術經濟效益。這標誌著我國「自主可控、安全可信」的新一代信息技術產品，在實用化與產業化進程中邁出了裡程碑性的一步。

儘管擬態防禦的基本原理和方法具有普適性，但不同應用領域還有不少需要再創新的理論和技術問題，從產品定型到產業落地再到大規模推廣還存在很多困難和挑戰。

「我們今後將加快擬態防禦理論體系和關鍵技術體系的完善，推進相關技術標準規範的制定，出臺行業及產品檢驗規範等，同時呼籲國家從產業規劃和政策層面加大扶持力度，引導和鼓勵相關領域開展擬態防禦技術產品的發明創造和應用試點。」鄔江興表示。

未來，具有擬態防禦功能的信息系統安全等級在設計階段就可以量化確定，防禦性能可以用成熟的可靠性理論和方法檢測度量。可以預見，現有信息產業技術和市場格局將會被打破，「重新洗牌」將不可避免。網絡空間任由黑客縱橫捭闔、為所欲為以及信息技術廠家不承諾「產品安全質量」的時代，將隨著擬態防禦等新技術產品的推出而走向終結。（實習生 呂 迪 記者 張 曄）

來源：科技日報